腾讯电脑管家推出“伴你童行计划”,引导儿童健康安全上网
金秋九月,又是一年的开学季节。全国各地的大、中、小学都迎来了开学潮。学生们纷纷回到校园,罪犯们首先抓住手掌,专注于开学经济,试图行使非法手段获得巨额利润。克日,腾讯智能安全威胁情报中心收到用户反馈,称学校网络水卡管理服务器仍频繁崩溃。经学校网络管理人员系统调查,未发现异常问题,开始涉嫌内部网络受到邪恶黑客攻击,因此向腾讯智能安全威胁情报中心求助。金秋九月,又是一年的开学季节。全国各地的大、中、小学都迎来了开学潮。学生们纷纷回到校园,罪犯们首先抓住手掌,专注于开学经济,试图行使非法手段来获得巨大的利润。克日,腾讯智能安全威胁情报中心收到用户反馈,称学校网络水卡管理服务器仍频繁崩溃。经学校网络管理人员系统调查,未发现异常问题,开始涉嫌内部网络邪恶黑客攻击,因此向腾讯智能安全威胁情报中心求助。
经腾讯平安工艺专家检测,发现学校内网水卡管理服务器rundllhost.exe挖矿木马入侵,属于NSASrvanyMiner采矿木马的变种,行使NSA武器工具在内网攻击中流传。因为服务器没有修复ms17-010破绽,因此受到攻击被行使挖矿。经查询钱包信息发现,停止现在,NSABuffMiner挖掘木马已获得1217枚门罗币,非法利润高达115万元。
(图:NSABuffMiner 采矿木马非法利润
目前,腾讯智能安全威胁情报中心已对挖掘木马进行行了全面的屏蔽和调查,并提醒大多数企业用户实时修复高风险缺陷。一旦犯罪的黑客行使了这些系统缺陷,用户的计算机除了植入挖掘木马外,还可能植入勒索病毒,成为窃取数据的工具,导致双重严重的结果。
据腾讯平安手艺专家介绍,NSASrvanyMiner挖掘木马新变种发动攻击时,先关闭防火墙,启动CPUInfo.exe扫描内网机械的445端口。如果端口打开,则行使多个端口NSA武器工具攻击用户计算机。同时,当挖掘木马启动矿机时,使用它NSSM服务管理工具,采矿机安装为系统服务,该工具具有自动保护目的服务过程效果,可维持采矿过程运行,可逃避部门软检测。
隐藏后门程序的护眼小秘书 超过3万台电脑感染
值得一提的是,该挖矿木马为了保证对挖矿资源的独占,会使用“黑吃黑”、“过河拆桥”等方式阻断其它挖矿木马的入侵,查杀30余个同样是挖矿木马的历程,并在自身入侵乐成后,自动将135、137、138、139、445等危险端口关闭,防止其它挖矿木马和自己争抢挖矿资源。
除此之外, ,NSABuffMiner采矿木马的新变种配备了强大的功效NSA缺陷攻击包有利于其在内网攻击中的传播。同时,挖掘木马还将检测多个义务治理器的过程。一旦用户发现系统异常,使用义务治理器检查系统资源占用情况,木马将立即关闭义务治理器。如果关闭失败,木马将立即退出,以怀疑普通用户。
(图:腾讯平安企业级产品御点)
为防止此类邪恶黑客攻击再次发生,腾讯计算机管家安全专家、腾讯安全反病毒实验室辛勤工作人员马金松建议企业网络管理:实时服务器安全补丁,只关闭不必要的文件共享、端口和服务,接受唯一高强度的服务器账户和密码,定期更换;同时,建议安装皇家终端安全管理系统等安全软件,通过终端杀毒修复缺陷统一控制,规划控制等综合安全管理效果,可以帮助企业管理者充分了解、管理企业内部网络安全状态,珍惜企业安全。
国际安全专家齐聚一堂VB2018安全活动 腾讯安全产品关注